Zum Inhalt springen

Advanced Persistent Threats (APTs)

APT-Profile

„Advanced Persistent Threats“ (APTs) hat sich im Laufe des letzten Jahrzehnts als zentrale Bezeichnung für besonders potente, ausdauernde und staatlich-affiliierte, wenn nicht gar staatlich-integrierte Cyberakteure herausentwickelt.

Wir stellen in einem standardisierten, sowie fortlaufend aktualisierten und erweiterten Prozess die bislang am stärksten in Erscheinung getretenen APTs in Form von komprimierten Profilen vor. Unsere Profile umfassen die folgenden Aspekte:

  • zentrale Aspekte der Konfliktaktivität der Gruppierung (quantitativ & qualitativ)
  • ihre Beschreibung im Rahmen politischer, technischer und rechtlicher Attributionsprozesse,
  • und bereits eingeleitete Gegenmaßnahmen (z.B. Anklagen, Beschlagnahmungen, Sanktionen etc.).

Um der oftmals nicht zweifelsfreien Beschreibung der Gruppierungen durch unterschiedliche Akteure Rechnung zu tragen, werden darüber hinaus Kontroversen der vorgenommenen Attributionen identifiziert, um die Debatte um kontestierte Verantwortungszuweisungen auch auf Akteursebene zu ermöglichen.

Wir entwickelten auch einen Bedrohungsindex, um die Gesamtintensität, die Häufigkeit und den Umfang der Angriffe bestimmter APT-Gruppen zu bewerten. Dieser Index wird aus unseren Daten abgeleitet; weitere Einzelheiten zu unserer Methodik finden Sie hier:

China

Es gibt nur zwei Arten von Unternehmen – diejenigen, die wissen, dass sie kompromittiert wurden und diejenigen, die es nicht wissen“ (Dimitri Alperovitch, 2011). Mit diesem Zitat wird immer wieder das Ausmaß chinesischer Cyberspionage gegen Unternehmen weltweit beschrieben. Kaum ein Land hat ein so deutlich ökonomisch motiviertes Cyberoperationsportfolio entwickelt wie China. Nichtsdestotrotz fügen sich die nachfolgend vorgestellten APTs und deren Aktivitäten auch auf geopolitischer Ebene in die außen- und innenpolitischen Zielsetzungen der Kommunistischen Partei weitestgehend ein. So wurden chinesischen Cyberakteuren in den letzten Jahren auch immer stärker militärisch orientierte, disruptivere Cyberoperationen zugesprochen, besonders im Hinblick auf regionale Konflikte.

Iran

Der stetige Auf- und Ausbau iranischer Fähigkeiten zur Ausübung offensiver Cyberaktivitäten wird besonders mit den eigenen Erfahrungen als Opfer schwerwiegender Cyberangriffe, allen voran dem Computerwurm Stuxnet, begründet. Seit 2010 wurden immer häufiger unterschiedlichste Cyberaktivitäten iranischer Herkunft festgestellt, wobei sich der Schwerpunkt des Operationsprofils von anfänglich wenig sophistizierten DDoS– und Defacement-Operationen nach und nach zu komplexeren, regional orientierten Cyberspionageoperationen gewandelt hat. Hierfür wird eine wachsende Anzahl an APTs verantwortlich gemacht, die – öffentlichen Erkenntnissen nach – in einem nationalen Cyberökosystem um staatliche Hackingaufträge konkurrieren (Gundert et al. 2018).

Profile folgen bald...

Nordkorea

Seinem in der analogen Welt oftmals als „Schurkenstaat“ bezeichneten Ruf wird Nordkorea immer stärker auch im Cyberspace gerecht. So verlegten sich nordkoreanische APTs insbesondere seit 2016 immer häufiger auf finanzwirksame Aktivitäten, etwa indem Finanztransaktionen umgeleitet oder Kryptobörsen „ausgeraubt“ wurden. Trotz der eigenen Isolation auf digitaler Ebene gelang es dem Land somit bislang die Verwundbarkeit vieler anderer Staaten zum eigenen Vorteil zu nutzen. Aufgrund des hohen Maßes an staatlicher Kontrolle über das nationale Intranet kann für (inländische) nordkoreanische APTs daher auch von einem maximalen Grad an staatlicher Verantwortlichkeit ausgegangen werden.

Russland

Kaum ein Land hat in den letzten Jahren so viel Aufsehen im Cyberspace erregt wie Russland. Ob klassische Cyberspionage gegen rivalisierende Staaten, inländische Oppositionelle oder ausländische Medieneinrichtungen; Wahlbeeinflussungen durch Hack-and-Leak-Operationen oder Sabotage durch disruptive Cyberangriffe auf kritische Infrastrukturen: russische APTs bespielten bislang eine große Bandbreite an Operationsformen im digitalen Raum, nicht zuletzt im aktuellen Krieg gegen die Ukraine. Aufgrund der darin immer stärkeren Verflechtung zwischen politischen und kriminellen Cyberaktivitäten werden für Russland nicht nur klassische APTs behandelt, sondern auch Cybercrime-Gruppierungen, denen engste Verbindungen zu staatlichen Stellen attestiert werden.

USA

Die USA werden auch im Cyberspace als das mächtigste und mit den größten Fähigkeiten und Ressourcen ausgestattete Land angesehen. Sowohl der technologisch führende Privatsektor als auch staatliche Stellen verfügen über umfassende offensive sowie defensive Kapazitäten im Cyberspace. Auch wenn eigene disruptive Cyberoperationsformen bislang überwiegend durch US-Akteure selbst öffentlich gemacht wurden, erregten die umfassenden Cyberspionageaktivitäten der NSA und CIA nicht zuletzt seit den Enthüllungen Edward Snowdens 2013 erhebliche Aufmerksamkeit, die seitens IT-Unternehmen ebenfalls in Teilen den nachfolgend vorgestellten APTs zugesprochen wurden.

Welcome to our Cyber Incident Dashboard!

For best results, please view on a desktop device.